🔩安全工程师2024秋招一面☎️2

接上篇

浏览器有什么安全特性可以防护XSS
如何防护富文本XSS
了解CSP吗

回答的不好，搜了一下答案，简单记一下吧。。
    XSS https://tech.meituan.com/2018/09/27/fe-security.html

    虽然在渲染页面和执行 JavaScript 时，通过谨慎的转义可以防止 XSS 的发生，但完全依靠开发的谨慎仍然是不够的。以下介绍一些通用的方案，可以降低 XSS 带来的风险和后果。
    1. Content Security Policy
    严格的 CSP 在 XSS 的防范中可以起到以下的作用：
    禁止加载外域代码，防止复杂的攻击逻辑。
    禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。
    禁止内联脚本执行（规则较严格，目前发现 GitHub 使用）。
    禁止未授权的脚本执行（新特性，Google Map 移动版在使用）。
    合理使用上报可以及时发现 XSS，利于尽快修复问题。
    关于 CSP 的详情，请关注前端安全系列后续的文章。
    2. 输入内容长度控制
    对于不受信任的输入，都应该限定一个合理的长度。虽然无法完全防止 XSS 发生，但可以增加 XSS 攻击的难度。
    3. 其他安全措施
    3.1 HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。
    3.2 验证码：防止脚本冒充用户提交危险操作。

半小时简历项目简介，只能说还好是面试官盲区，一通胡说八道🤦编都编不下去
有一个内网横向移动的项目，没吃透就放上去了，被问得很惨

十分钟soft skills拷打
1. 在哪自学 学到哪了 学什么了
2. 你是安全部门，SDLC过程中就发现开发团队有中低危漏洞，但对方不屑一顾，现在功能已部署上线，你如何与其沟通。。」
我以为是拷打对high-level的业务交互理解，不敢乱说，结果只是看看交流能力😑
「按照规范制度 修复标准 不修复的话和研发沟通 告知具体危害后果 长期不修。。先讲道理 讲不通谈规则 集团安全红线 中低危 修复时间 可以延期 但不可以太久。。」